GitHub va anunciar un moviment per requerir l'autenticació de dos factors per a tots els usuaris que publiquen codi a GitHub.com. En la primera etapa, el març de 2023, l'autenticació obligatòria de dos factors començarà a aplicar-se a determinats grups d'usuaris, i s'aniran cobrint progressivament més i més categories noves.
El canvi afectarà principalment els desenvolupadors que publiquen paquets, aplicacions OAuth i gestors de GitHub, creen versions, participen en el desenvolupament de projectes crítics per als ecosistemes npm, OpenSSF, PyPI i RubyGems, així com els que participen en el treball dels quatre milions més populars. repositoris. A finals de 2023, GitHub té la intenció de desactivar completament la capacitat de tots els usuaris d'impulsar canvis sense utilitzar l'autenticació de dos factors. A mesura que s'acosta el moment de la transició a l'autenticació de dos factors, els usuaris rebran notificacions per correu electrònic i es mostraran advertències a la interfície.
El nou requisit reforçarà la protecció del procés de desenvolupament i protegirà els dipòsits de canvis maliciosos com a resultat de la filtració de credencials, l'ús de la mateixa contrasenya en un lloc compromès, la pirateria del sistema local del desenvolupador o l'ús de mètodes d'enginyeria social. Segons GitHub, els atacants que accedeixen als repositoris com a conseqüència de la presa de possessió del compte és una de les amenaces més perilloses, ja que en cas d'atac reeixit, es poden fer canvis ocults als productes i biblioteques populars utilitzats com a dependències.
A més, podem observar l'inici de proporcionar a tots els usuaris dels repositoris públics a GitHub un servei gratuït per fer el seguiment de la publicació accidental de dades confidencials, com ara claus de xifratge, contrasenyes de DBMS i testimonis d'accés a l'API. En total, s'han implementat més de 200 plantilles per identificar diferents tipus de claus, fitxes, certificats i credencials. Per eliminar els falsos positius, només es comproven els tipus de testimoni garantits. Fins a finals de gener, l'oportunitat estarà disponible només per als participants del programa de proves beta, després del qual tothom podrà utilitzar el servei.
Font: opennet.ru
